A crescente utilização de meios tecnológicos na área da saúde permite disponibilizar informação aos cidadãos e profissionais de saúde em tempo útil, incrementando, no entanto, a sua exposição ao risco.
O atual nível de complexidade dos sistemas de informação e os riscos que lhes são inerentes, reclamam a criação e manutenção de meios que permitam a vigilância permanente do estado desses mecanismos e sempre que possível a sua otimização, a fim de garantir a adequada segurança dos mesmos.
Neste contexto, torna-se crucial dotar todo o ecossistema de saúde dos meios, dos recursos técnicos e logísticos e das competências necessárias à melhor preservação dos meios tecnológicos ao serviço do cidadão, garantindo a proteção da informação e a preservação da qualidade dos recursos que contribuem para a prestação contínua de serviços públicos de cuidados de saúde.
A proteção, a vigilância e as avaliações de segurança do sistema nacional de saúde devem ser uma constante, quer para a minimização do risco de perda de dados, quer como garantia da qualidade dos serviços prestados.
A SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), nos termos do Decreto-Lei 19/2010, de 22 de março, alterado pelos Decretos-Leis 108/2011, de 17 de novembro, 209/2015, de 25 de setembro e 32/2016, de 28 de junho, no âmbito dos serviços partilhados de sistemas e tecnologias de informação, tem por missão a cooperação, a partilha de conhecimentos e informação e o desenvolvimento de atividades de prestação de serviços nas áreas dos sistemas e tecnologias de informação e de comunicação, garantindo a operacionalidade e segurança das infraestruturas tecnológicas e dos sistemas de informação do Ministério da Saúde e promovendo a definição e utilização de normas, metodologias e requisitos que garantam a interoperabilidade e interconexão dos sistemas de informação da saúde, entre si e com os sistemas de informação transversais à Administração Pública.
O Centro Nacional de Cibersegurança (CNCS) é, nos termos do Decreto-Lei 3/2012, de 16 de janeiro, alterado pelos Decretos-Leis 162/2013, de 4 de dezembro e 69/2014, de 9 de maio, a autoridade nacional em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais. Neste contexto:
Considerando a Estratégia Nacional de Segurança do Ciberespaço, aprovada pela Resolução do Conselho de Ministros n.º 36/2015, de 12 de junho;
Considerando que se encontra em curso o processo de transposição da Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União, para o ordenamento jurídico nacional;
Sendo, ainda, fundamental garantir o cadastro periodicamente atualizado do parque aplicacional em operação no Ministério da Saúde e Serviço Nacional de Saúde, bem como o controlo da sua conformidade com o presente normativo;
Considerando o protocolo celebrado no dia 21 de fevereiro de 2017, entre o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança (GNS/CNCS) e a SPMS, E. P. E., que tem por objeto estabelecer as formas de cooperação entre estas duas entidades na troca de conhecimentos e no desenvolvimento e aprofundamento das capacidades nacionais de cibersegurança;
Tendo em conta a verificação de um crescente número de incidentes de segurança e considerando a ameaça que estes representam para o funcionamento das redes e dos sistemas de informação, torna-se premente reforçar os mecanismos de proteção desses sistemas, particularmente para proteção dos dados de saúde e do funcionamento do Serviço Nacional de Saúde e Ministério da Saúde.
Nestes termos, ao abrigo do disposto no n.º 5, do artigo 3.º do Decreto-Lei 19/2010, de 22 de março, na redação dada pelo Decreto-Lei 108/2011, de 17 de novembro, determino o seguinte:
Artigo 1.º
Objeto
O presente despacho estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde.
Artigo 2.º
Âmbito
O presente despacho é aplicável aos estabelecimentos, serviços e organismos do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde (MS), bem como às entidades do setor empresarial do Estado da área da saúde.
Artigo 3.º
Modelo de Governação
1 - A SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), deverá articular-se com o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança (GNS/CNCS), no âmbito das respetivas competências por forma a:
a) Promover a articulação intrainstitucional e interinstitucional, com vista a garantir a cibersegurança das redes e dos sistemas de informação de saúde, independentemente da sua localização, em função da conectividade existente;
b) Acompanhar, apoiar e monitorizar as medidas de proteção, deteção, resposta e recuperação dos recursos críticos do SNS;
c) Definir o modelo de avaliação para a gestão e monitorização das medidas de cibersegurança;
d) Desenvolver ações de formação, campanhas de sensibilização e desenvolvimento de planos e ações de comunicação para os riscos de cibersegurança junto às entidades do SNS e do MS;
e) Fomentar a gestão segura dos ativos de hardware, software e redes e comunicações, promovendo a cooperação entre instituições de saúde, a nível regional e local;
f) Promover uma cultura de gestão de risco em matéria de software ou do hardware e redes e comunicações, designadamente através da incorporação de requisitos de gestão de risco nas aquisições a realizar;
g) Definir estratégias de combate à fraude no âmbito da cibersegurança;
h) Monitorizar e publicar com caráter regular os resultados das medidas adotadas.
2 - A SPMS, E. P. E., define, após validação prévia do GNS/CNCS, as políticas de cibersegurança para as entidades referidas no artigo 2.º
3 - A SPMS, E. P. E., promove uma gestão participativa da segurança que assegure os normativos e modelos de gestão da função segurança nas entidades referidas no artigo 2.º
4 - A SPMS, E. P. E., convoca os responsáveis de segurança da informação das entidades referidas no artigo 2.º, ao longo do processo de definição normativa, e cria condições de participação destes responsáveis utilizando fóruns destinados ao diálogo e reflexão conjunta.
Artigo 4.º
Medidas e procedimentos de cibersegurança
1 - As medidas e procedimentos de cibersegurança a definir pela SPMS, E. P. E., em articulação com GNS/CNCS devem prever, designadamente:
a) Contributo para a criação de valor no setor da saúde e alinhamento com as estratégias e objetivos do MS e entidades locais;
b) Envolvimento e partilha de responsabilidades de todos os colaboradores, designadamente órgãos governamentais, órgãos dirigentes, profissionais de saúde, profissionais das Tecnologias de Informação e outros profissionais;
c) Utilização de boas práticas comuns e alinhamento com boas práticas de referência na área de cibersegurança e, em especial, no âmbito do setor da Saúde;
d) Adoção de uma visão holística da cibersegurança, considerando as dimensões de Organização, Processos, Pessoas e Tecnologias;
e) Ações de auditoria inicial e iniciativas de suporte à melhoria contínua;
f) Ações de mitigação de vulnerabilidades e reforço de controlos de curto e médio prazo;
g) Comportamentos organizacionais;
h) Benchmarking e partilha de experiências e informação internacional proveniente das agências especializadas neste âmbito, designadamente, a Agência da União Europeia para a Segurança das Redes e da Informação;
i) Mecanismos de informação ao membro do Governo responsável pela área da saúde e aos utilizadores dos sistemas quanto aos riscos, medidas e ações a adotar;
j) A implementação de processos de melhoria contínua por forma a adaptar as políticas e os processos em função dos incidentes ocorridos;
k) Incentivos à investigação em matéria de cibersegurança em parceria com instituições públicas de ensino e investigação, nacionais ou internacionais;
l) Criação de um cadastro das aplicações informáticas do SNS/MS até 90 dias após publicação do presente despacho;
2 - A SPMS, E. P. E., mantém um repositório informático do cadastro mencionado na alínea supra, emitindo documento de registo, com validade anual, por cada aplicação e entidade.
Artigo 5.º
Responsabilidades
Compete às entidades abrangidas pelo presente despacho:
a) Adotar as medidas relativas ao Programa de Gestão de Risco e Segurança do eSIS;
b) Atribuir as funções e responsabilidades de responsável de segurança da informação (Chief Information Security Officer - CISO) e de responsável técnico de segurança (Chief Security Officer - CSO) para garantir a colaboração com o responsável máximo de sistemas de informação da respetiva entidade, e serem indicados à SPMS, E. P. E., no prazo máximo de 60 dias após a entrada em vigor do presente despacho;
c) Elaborar relatórios regulares sobre o perfil evolutivo da implementação das políticas e controlos de segurança na entidade, de forma a permitir avaliar e comparar níveis de maturidade;
d) Garantir a disponibilização dos recursos humanos, tecnológicos e financeiros, necessários para assegurar o cumprimento dos níveis de serviço definidos pela SPMS, E. P. E.;
e) Assumir um papel participativo e colaborativo na partilha de boas práticas e de melhoria contínua para responder à dinâmica evolutiva dos diversos contextos de cibersegurança;
f) Cumprir as medidas e procedimentos na área da cibersegurança;
g) Promover em tempo útil a disponibilidade dos meios de proteção, deteção, resposta e recuperação reportando aos órgãos competentes, sempre que confrontada com situações que comprometam a segurança;
h) Acompanhar, apoiar e monitorizar o desenvolvimento de medidas de proteção, deteção, resposta e recuperação dos recursos críticos locais;
i) Adotar o modelo de avaliação para a gestão e monitorização das medidas de segurança;
j) Colaborar com a SPMS, E. P. E., no processo de definição normativo e nos modelos de gestão da segurança a implementar.
k) Cumprir as indicações a emitir por circular normativa da SPMS, E. P. E., com vista à realização do disposto na alínea l) do artigo 4.º, garantindo assim toda a colaboração para a constituição do cadastro aplicacional do MS e sua atualização permanente, no espaço máximo de 30 dias após publicação do presente despacho.
Artigo 6.º
Aquisição e gestão de tecnologias com vista à cibersegurança
1 - Compete à SPMS, E. P. E., proceder à agregação das necessidades de aquisição de todos os bens e serviços necessários à implementação dos planos de cibersegurança na saúde, bem como assegurar a tramitação prévia dos procedimentos de aquisição nos termos definidos no contrato de mandato administrativo a celebrar entre a SPMS, E. P. E., e as entidades adquirentes.
2 - A agregação das necessidades prevista no número anterior é obrigatória para todas as entidades referidas no artigo 2.º
3 - Às instituições referidas no número anterior cumpre prever nos seus orçamentos as verbas necessárias para acautelar os investimentos necessários no âmbito da modernização tecnológica crítica em cada momento, que resultam da implementação de uma política de segurança e levantamento de necessidades indicadas pela SPMS, E. P. E.
Artigo 7.º
Auditorias e avaliações de cibersegurança
Sem prejuízo das competências do GNS/CNCS, compete à SPMS, E. P. E., efetuar ou determinar auditorias e avaliações de cibersegurança às entidades abrangidas pelo presente despacho para determinar o nível tecnológico adequado a garantir o nível de segurança definido, bem como a coerência entre iniciativas processuais e tecnológicas, sistemas legados e novos sistemas e as aquisições futuras com vista a racionalização dos esforços financeiros.
Artigo 8.º
Financiamento
1 - O custo com as auditorias de cibersegurança, que venham a ser determinadas ao abrigo do artigo 7.º, é suportado pela entidade auditada, no âmbito do seu plano de investimentos em tecnologias de informação.
2 - As ações efetuadas pela SPMS, E. P. E., ao abrigo do artigo 7.º são suportadas pelas verbas do contrato programa entre Administração Central do Sistema de Saúde, I. P. (ACSS, I. P.) e a SPMS, E. P. E.
Artigo 9.º
Recursos Humanos e Capacitação
1 - As entidades garantem formação e certificação dos seus quadros técnicos em matéria de cibersegurança, garantir formação e sensibilização dos profissionais de saúde e outros trabalhadores em matéria de segurança da informação e indicar um responsável de alto nível para a segurança da informação.
2 - A SPMS, E. P. E., disponibiliza um quadro de referência na formação em cibersegurança com recursos próprios ou recorrendo a parcerias com universidades públicas, e um programa inicial de formação geral sem encargos para as entidades do SNS.
3 - A ACSS, I. P., no âmbito das suas competências para gestão dos Recursos Humanos no SNS e MS, garante a capacidade de reforço dos quadros internos que garantam a existência de meios humanos para implementação das medidas e procedimentos de cibersegurança referidas no presente despacho.
Artigo 10.º
Adesão voluntária
As entidades convencionadas com o SNS, bem como outras entidades públicas ou privadas, designadamente as que integrem as Regiões Autónomas, podem aderir ao programa de cibersegurança objeto do presente despacho, mediante contrato de adesão a celebrar com a SPMS, E. P. E.
Artigo 11.º
Entrada em vigor
O presente despacho entra em vigor no dia seguinte ao da sua publicação.
29 de setembro de 2017. - O Secretário de Estado da Saúde, Manuel Martins dos Santos Delgado.
310821546
